В предыдущей части статьи был рассмотрен процесс развертывания нового принтера на сервере печати, а также рассказывалось о двух первых этапах развертывания принтеров для пользователей и компьютеров организации средствами групповой политики. Эти два этапа делятся на само развертывание принтеров средствами групповой политики, а также на развертывание программы PushPrinterConnections.exe в том случае, если в вашей организации есть пользователи, которые работают на компьютерах с операционной системой Windows XP или Windows Server 2003.
Что же представляет собой третий этап в развертывании принтеров средствами групповой политики? Как я уже говорил в первой части данной статьи, к третьему этапу можно отнести обеспечение безопасности установки драйверов, а также выполнение прочих настроек, которые могут иметь отношение к работе с самими принтерами. Помимо этого, как вы, скорее всего, знаете, можно развертывать принтеры при помощи соответствующего элемента предпочтений групповой политики, однако, об этом речь пойдет в одной из статей соответствующего цикла. А сегодня я хотел бы рассказать о параметрах групповой политики, а именно об административных шаблонах, которые относятся именно к третьему этапу развертывания принтеров средствами групповой политики.
Этап третий. Развертывание параметров групповой политики, отвечающих за управление принтерами
В отличие от второго этапа развертывания принтеров средствами групповой политики, определять параметры политики принтеров рекомендуется практически для любых операционных систем Windows. Прежде всего, административные шаблоны, предназначенные для управления принтерами в организации, будут настраиваться в созданном заранее объекте групповой политики «Принтеры бухгалтерии», который уже связан с подразделением бухгалтеров. Итак, чтобы настроить параметры политики, отвечающие за управление принтерами, выполните следующие действия:
Откройте оснастку «Управление групповой политикой», разверните узел «Лес: %имя леса%», узел «Домены», затем узел с названием вашего домена. Выберите узел «Объекты групповой политики». В данном узле выберите объект групповой политики «Принтеры бухгалтерии», нажмите на нем правой кнопкой мыши и из контекстного меню выберите команду «Изменить»;
В отобразившейся оснастке «Редактор управления групповыми политиками» разверните узел Конфигурация компьютера\Политики\Административные шаблоны и выберите узел «Принтеры», как показано на следующей иллюстрации:
Рис. 1. Узел «Принтеры» редактора управления групповыми политиками
В этом узле вы можете обнаружить 25 параметров политики, однако, здесь один параметр политики, а именно параметр «Печать на основе использования веба» может распространяться только на компьютеры с операционной системой Windows 2000, а еще три параметра: «Автоматическая публикация новых принтеров в Active Directory», «Особый URL-адрес службы поддержки в левой панели папки принтеров», а также «Запретить установку принтеров, использующих работающие в режиме ядра драйверы» распространяются только на такие операционные системы как Windows 2000, Windows XP, а также Windows Server 2003. Так как в этой статье подразумевается, что все клиентские компьютеры бухгалтеров, на которые развертывались принтеры, оснащены операционными системами Windows 7, эти параметры в рамках текущей статьи рассматриваться не будут. Первый параметр политики, который будет настраиваться в этой статье, отвечает за обзор принтеров в доменных службах Active Directory и называется «Обзор принтеров». Как вам известно, в доменах Active Directory, информация об установленных принтерах хранится в доменных службах, однако, по умолчанию, она не объявляется в списках просмотра службы каталога в том случае, если пользователь выполнил вход в домен. Если же доменные службы Active Directory не доступны, то в таком случае общие принтеры будут добавляться в список просмотра. В свою очередь, если включить данный параметр политики, то диспетчер очереди печати будет объявлять общие принтеры подсистеме печати. А клиенты, при каждом уведомлении о наличии принтеров должны использовать клиентские лицензии. Чтобы подсистема печати не добавляла общие принтеры в список просмотра, рекомендуется данный параметр политики отключить, как показано на следующей иллюстрации:
Рис. 2. Отключение обзора принтеров при помощи групповой политики
После определение настроек обзора принтеров, следует выполнить некоторые настройки, отвечающие за отображаемые данные мастера установки принтеров. Для этого существуют два параметра групповой политики: «Мастер установки принтеров – страница сканирования сети (неуправляемая сеть)» и «Мастер установки принтеров – страница сканирования сети (управляемая сеть)». Первый предназначен для установки количества принтеров в неуправляемой сети, то есть в сети, где невозможно обнаружить контроллер домена, например, в аэропорту или в домашнем окружении, а второй, соответственно, для управляемой сети, где у компьютера есть доступ к контроллеру домена. При помощи этих параметров политики вы можете определить отображаемое количество принтеров для TCP/IP-принтеров, принтеров веб-служб, Bluetooth принтеров, а также количество общих принтеров, которые выводятся в списке найденных результатов. Параметр политики для управляемых принтеров отличается лишь тем, что в нем еще присутствует возможность настройки определения принтеров Active Directory. Значения по умолчанию для каждого типа принтеров в параметрах политики отличаются. По умолчанию, для неуправляемой сети должны отображаться по 50 TCP/IP-принтеров, общих принтеров, а также принтеров веб-служб, а Bluetooth принтеров должно отображаться максимум 10 штук. В свою очередь, в управляемой сети по умолчанию должны отображаться только 20 принтеров Active Directory и 10 Bluetooth принтеров. Для определения своих параметров следует в обоих параметрах политики установить переключатель на опцию «Включить» и указать свое количество принтеров для каждого типа. Например, для неуправляемой сети можно установить для трех типов значение 10, а для Bluetooth принтеров указать значение 0. Это означает, что мастер не будет отображаться принтеры данного типа. Для управляемой сети зададим значение 20 для каждого типа помимо общих принтеров. Для этого типа укажем значение 10. Диалоговое окно настроек мастера установки принтеров для управляемой сети отображено ниже:
Рис. 3. Настройка мастера установки принтеров для управляемой сети
Следующие рассматриваемые в этой статье параметры политики предназначены для управления публикацией принтеров. Как вы знаете, каждому пользователю по умолчанию предоставлена возможность публикации принтера в Active Directory. Принтеры можно опубликовывать в Active Directory, установив флажок «Внести в Active Directory» на вкладке доступа диалогового окна свойств установленного общедоступного принтера. При желании пользователей можно лишить этой возможности, установив переключатель на опцию «Отключено» в диалоговом окне свойств параметра политики «Разрешить публикацию принтеров». Так как в большинстве случаев нет необходимости в запрещении публикации принтеров, следует установить переключатель на опцию «Включено». После того как принтер будет опубликован, операционная система должна проверять доступность своих опубликованных принтеров в доменных службах Active Directory. По умолчанию такая проверка выполняется однократно во время запуска самой операционной системы. Этим параметром также можно управлять при помощи функциональных возможностей групповой политики. Для этого следует открыть диалоговое окно свойств параметра политики «Проверять состояние публикации», а затем установить переключатель на опцию «Включено». После этого из раскрывающегося списка «Периодичность проверки состояния публикации» следует выбрать интервал проверки публикации. Например, оптимальным значением будет 4 часа, однако, если вы укажите значение «Никогда», то это будет приравниваться тому, как если бы вы установили переключатель на опцию «Отключено». Диалоговое окно свойств этого параметра политики с интервалами, указанными в соответствующем раскрывающемся списке отображено ниже:
Рис. 4. Выбор интервала проверки состояния публикации принтера в Active Directory
Еще один параметр политики, отвечающий за публикацию принтеров, который рассматривается в этой статье, называется «Удалять принтеры, которые не были повторно опубликованы». Для чего необходим этот параметр политики? Бывают такие ситуации, когда во время проверки состояния публикации компьютер, принтер которого опубликован в Active Directory при помощи возможностей оснастки «Active Directory – пользователи или компьютеры» или специального скрипта Pubprn.vbs, не отвечает на запросы. Так вот, данный параметр политики определяет, можно ли уменьшить количество принтеров в доменных службах при помощи службы очистки, о которой будет рассказано ниже. Установив переключатель на опцию «Включить» вы можете выбрать одну из следующих опций:
Никогда. Данный параметр установлен по умолчанию, даже если не настраивать этот параметр политики и позволяет не удалять объекты принтеров, которые автоматически не публикуются повторно;
Только если найден сервер печати. В данном случае такие объекты удаляются лишь в тогда, когда принтер недоступен, но в сети можно обнаружить работающий сервер печати;
Когда принтер не найден. В этом случае, принтер будет удален, если компьютер не отвечает на запросы в тот момент, когда должна выполняться автоматическая публикация последнего.
Рекомендуемым значением данного параметра является значение «Никогда».
Следующие четыре параметра политики отвечают за возможность очистки принтеров. Собственно, служба очистки предназначена для удаления из доменных служб Active Directory объектов принтеров. Первый, рассматриваемый в этой статье параметр очистки, называется «Интервал очистки Active Directory». В принципе, предыдущий параметр, описанный в этой статье, напрямую зависит от значения, которое вы укажите в текущем параметре политики. При помощи данного параметра политики вы можете указать интервал, определяющий время, через которое служба очистки на контроллере домена будет опрашивать компьютеры на наличие работоспособности опубликованных принтеров. Соответственно, если компьютер не ответит на запрос, то объект принтера, опубликованного в доменных службах Active Directory, будет удален. Установите переключатель на опцию «Включить» и из раскрывающегося списка «Интервал» укажите требуемый промежуток времени между попытками обнаружения так называемых брошенных компьютеров. Рекомендуется, чтобы этот интервал был больше указанного в предыдущем параметре политики, например, как показано на следующей иллюстрации, 12 часов:
Рис. 5. Определение интервала очистки Active Directory
Для того чтобы объект принтера случайно не был удален в тот момент, когда при каком-то обстоятельстве компьютер, опубликовавший принтер может быть случайно недоступен, следует определять количество повторов попыток обращения к опубликовавшему принтер компьютеру, после которого служба очистки удалит объект принтера из доменных служб Active Directory. По умолчанию служба очистки дважды повторно опрашивает компьютер, перед тем как удалить объект из доменных служб. Используя параметр политики «Повторы при очистке Active Directory» вы можете изменить количество повторов. Откройте диалоговое окно свойств этого параметра политики и из раскрывающегося списка «Повторы» выберите необходимое для вас количество повторов, например, три повтора и нажмите на кнопку «ОК».
Как я уже не один раз упомянул, в том случае, если компьютер, опубликовавший принтер не ответит на сообщение опроса на протяжении указанных в предыдущем параметре политики попыток, принтер будет удален из Active Directory. При желании вы можете запретить очистку опубликованных ранее принтеров, установив переключатель на опцию «Отключено» в диалоговом окне свойств параметра политики «Разрешить очистку опубликованных принтеров». Естественно, этот параметра политики спасет опубликованные принтеры от очистки в том случае, если компьютеры, опубликовывающие принтеры в обязательном порядке должны выключаться, однако, в диалоговом окне данного параметра лучше установить переключатель на опцию «Включить».
Последний параметр политики, позволяющий настроить службу очистки, называется «Приоритет потока при очистке Active Directory». Как вы догадались, используя свойства этого параметра политики, вы можете указать приоритет, влияющий на порядок получения процессорного времени, определяющий вероятность вытеснения другими процессами, которые могут быть более приоритетными. Сам поток очистки, соответственно, удаляет ненужные объекты принтеров из доменных служб Active Directory. В раскрывающемся списке «Приоритет» диалогового окна свойств данного параметра политики можно найти 5 значений: Самый низкий, Ниже среднего, Средний, Выше среднего, а также Самый высокий. По умолчанию установлено значение «Средний», а так как поток очистки не является приоритетным процессом, выполняющимся на контроллере домена (а поток очистки выполняется лишь на контроллерах), я предлагаю установить значение «Ниже среднего», как показано на следующей иллюстрации:
Рис. 6. Выбор приоритета потока при очистке Active Directory
И последний, рассматриваемый в этой статье параметр политики, расположенный в узле конфигурации компьютера предназначен для определения отображаемых запросов контроля учетных записей (UAC), а также серверов, на которых может применяться функция указания и печати. Чтобы определить такие настройки, откройте диалоговое окно свойств параметра политики «Ограничения и указания печати» и установите переключатель на опцию «Включить». Как видно на следующей иллюстрации, для этого параметра политики существуют несколько настроек, позволяющих управлять задачами, указанными выше. Установите флажок на опцию «Функцию указания печати можно использовать на следующих серверах», а затем в соответствующем текстовом поле введите через точку с запятой имена серверов, например, «DC;Server04». Установив флажок на опцию «Функцию указания и печати можно использовать только на компьютерах своего леса» вы запретите пользователям использовать принтеры сторонних лесов. При использовании принтеров пользователи с такими операционными системами как Windows Vista или Windows 7 могут видеть диалоговое окно UAC в двух случаях, а именно, при установке драйверов для нового подключения и при обновлении драйверов для нового подключения. Как для первого, так и для второго случая вы можете определить, будут ли отображаться предупреждения безопасности или, естественно, запросы на повышение прав. Например, в данном случае, для установки драйверов у пользователей не будет отображаться предупреждение или запрос на повышение прав, а при обновлении будет показываться только лишь одно предупреждение:
Рис. 7. Настройка ограничений указания и печати средствами групповой политики
После того как будут настроены параметры политики в узле конфигурации компьютера, следует перейти к параметрам политики конфигурации пользователя, которые можно обнаружить в узле Конфигурация пользователя\Политики\Административные шаблоны\Панель управления\Принтеры. В отличие от указанных ранее параметров политики, в этом узле вы найдете только восемь параметров, где один из параметров можно применять только для компьютеров с операционной системой Windows 2000, Windows XP или Windows Server 2003. Прежде всего, первым параметром политики конфигурации пользователя будет рассмотрен параметр, предоставляющий возможность запретить пользователям добавление новых принтеров на свои компьютеры. Прежде всего, данный параметр позволит удалить возможность вызова мастера установки принтеров из панели управления и меню «Пуск», а также возможности вызова данного мастера из диалогового окна установки оборудования или какого-либо программного обеспечения, вызывающего данного мастера. В принципе, не стоит ограничивать пользователей от этой возможности, и поэтому в диалоговом окне параметра политики установите переключатель на опцию «Отключено», как показано ниже:
А вот для того чтобы ваши пользователи не обращались ежедневно в службу поддержки по поводу того, что у них по какой-то непонятной причине исчез их любимый принтер, в диалоговом окне свойств параметра политики «Запретить удаление принтеров» следует установить переключатель на опцию «Включить»;
По умолчанию, при выполнении поиска принтера, клиентский компьютер пытается обнаружить в доменных службах Active Directory принтер, начиная с корневого каталога домена, в чем, в большинстве случаев, нет никакой необходимости. Используя возможности параметра политики «Путь поиска принтеров Active Directory по умолчанию», вы можете указать расположение, с которого будет начинаться выполнение поиска. Для этого в диалоговом окне свойств данного параметра политики установите переключатель на опцию «Включить» и в соответствующем текстовом поле введите необходимое расположение. Например, «LDAP://DC=Biopharmaceutic,DC=local», как показано ниже:
Рис. 9. Определение пути поиска принтеров в домене по умолчанию
Внимательный читатель может задать вопрос: почему же не были рассмотрены некоторые параметры политики из узлов конфигурации компьютера или конфигурации пользователя? В принципе, ответ очень простой. Помимо этих двух статей, в которых рассказывается о развертывании принтеров в организации при помощи функциональных возможностей Active Directory, в феврале этого года я буду проводить 13-е занятие тренинга по групповой политике. На этом занятии вы узнаете обо всех возможных настройках принтеров средствами данной технологии, а также сможете задать любой вопрос, который у вас возникнет по данной тематике.